Withdrawal whitelist — также называется "address book вывода" или "address allowlist" — это функция биржи, которая ограничивает исходящие переводы pre-approved набором адресов назначения, с обязательным waiting-периодом перед использованием новых адресов. Самое экономически эффективное изменение конфигурации на любой централизованной бирже, и то, которое большинство российских холдеров пропускают.
Механизм
Активируется на уровне аккаунта. Однажды включено:
Вы определяете список одобренных адресов вывода (ваш аппаратный кошелёк, ваши другие биржевые аккаунты, кошельки членов семьи). Каждая запись обычно требует email и 2FA подтверждение при добавлении.
Выводы на любой адрес не в списке либо проваливаются явно, либо вызывают multi-day waiting-период (24-72 часа, в зависимости от биржи) плюс явный confirmation flow.
Модификации списка — добавление нового адреса, удаление существующего — также вызывают waiting-периоды и multi-factor подтверждение. Сам список становится защищённым ресурсом.
Против чего это защищает
Threat model прямая: злоумышленник, скомпрометировавший ваши биржевые credentials, но без физического доступа к вашим устройствам. Без whitelist злоумышленник логинится, генерирует вывод на свой собственный адрес, выходит из аккаунта. С whitelist злоумышленник может попытаться вывести — но только на ваши pre-approved адреса (бесполезные для них) — и попытка модифицировать сам список занимает дни, в течение которых вы получаете уведомления и можете отозвать доступ.
Это фактический механизм, который спас существенное число российских холдеров во время реальных атак. Волна фишинга 2024 года, дренившая credentials сотен пользователей Bybit через @Bybit_Support_RU Telegram-каналы — в большинстве случаев пользователи с включённым whitelist ничего не потеряли, несмотря на скомпрометированные credentials.
Как настроить на основных биржах, обслуживающих россиян
Bybit: Account & Security > Address Book. Включите Address Book. Добавьте адрес аппаратного кошелька. Bybit применяет 24-часовой waiting-период до того, как новые адреса могут использоваться.
OKX: Security > Address Management > Whitelist. Новые адреса требуют email подтверждения плюс конфигурируемый waiting-период (по умолчанию 24 часа).
Bitget: Profile > Security > Withdrawal Whitelist. Конфигурируемый per-asset waiting-период.
WhiteBIT: Settings > Security > Trusted Addresses. Обязательная функция для аккаунтов с месячным объёмом выше €10 000.
Trade-off трения
Whitelist добавляет 24-72 часа задержки в первый раз, когда вы выводите на новый адрес. Для российского холдера, выводящего в основном на известный аппаратный кошелёк, это трение невидимо после initial setup. Для холдера, который часто меняет destination адреса (DeFi yield farming между многими кошельками), трение реально, но смягчается добавлением всех адресов upfront.
Единственный самый распространённый failure mode: холдер становится нетерпеливым, временно отключает whitelist, чтобы сделать быстрый вывод, забывает повторно включить. Правило дисциплины: никогда не отключайте whitelist; если нужно добавить новый адрес, дождитесь waiting-периода.
Дополнительное чтение: CEX, Руководство по оценке биржи.